本地命令执行工具，风险极高

OpenClaw原生技能，支持本地网关执行任意shell命令，T3社区来源，适用于自动化测试场景，但存在严重安全隐患，仅建议在完全隔离环境使用。

基本信息

• 技能名称?native-run
• 中文名称?本地命令执行工具，风险极高
• 作者?sadikjarvis
• 分类?其他
• 版本?未标注
• 标签?automation, testing, development-engineering, backend, devops

使用方法

使用说明
核心用法
Native Run 是一款 OpenClaw 网关的原生技能，允许用户在本地网关机器上直接执行系统 shell 命令。用户通过发送匹配配置模式的消息（如"Run native: whoami"），即可触发命令执行并将输出返回给 OpenClaw。该技能采用 HTTP 本地服务架构，Python 端监听 8080 端口处理命令执行，Node.js 端负责与 OpenClaw 网关通信。
显著优点

1. 即开即用 ：无需复杂配置，部署后即可执行本地命令
2. 轻量依赖 ：Python 端仅使用标准库，无额外依赖负担
3. 自动化友好 ：适合脚本化测试、CI/CD 流水线本地验证等场景
4. 反馈即时 ：命令输出直接返回，便于调试和结果获取
   潜在缺点与局限性
5. 安全漏洞严重 ：使用 shell=True 执行任意用户输入，存在命令注入风险
6. 无访问控制 ：缺乏命令白名单/黑名单机制，可执行包括 rm -rf / 在内的破坏性命令
7. 硬编码凭证 ：Token 直接写死在源码中，易被提取和滥用
8. 无隔离机制 ：命令在宿主环境直接执行，无沙箱保护
9. 平台受限 ：当前仅支持 Windows 平台
   适合的目标群体
   本地开发测试人员 ：需在隔离虚拟机中进行快速命令验证
   DevOps 工程师 ：在受控容器环境内执行自动化部署脚本
   安全研究人员 ：用于可控环境的漏洞演示与攻防演练
   强烈不建议 ：生产运维、多用户协作、敏感数据处理等场景使用。
   使用风险
   数据丢失风险 ：误操作或恶意命令可导致系统文件损坏
   横向移动风险 ：若 8080 端口意外暴露，攻击者可利用此技能作为内网跳板
   凭证泄露风险 ：硬编码 Token 一旦被读取，将完全丧失访问控制
   审计缺失 ：无内置日志记录，难以追溯命令执行历史
   依赖漂移 ：Node.js 端缺少 lock 文件，可能存在依赖版本不一致问题